Andrey Konovalov nga Google mënyra për të çaktivizuar mbrojtjen nga distanca , ofrohet në paketën kernel Linux, i furnizuar në Ubuntu (metodat e propozuara teorikisht punoni me bërthamën e Fedora-s dhe shpërndarjet e tjera, por ato nuk janë testuar).
Lockdown kufizon aksesin e përdoruesit rrënjë në kernel dhe bllokon shtigjet e anashkalimit të UEFI Secure Boot. Për shembull, në modalitetin e bllokimit, qasja në /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes mode debugging, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktura e Informacionit të Kartës), disa ndërfaqet janë të kufizuara Regjistrat ACPI dhe MSR të CPU, thirrjet në kexec_file dhe kexec_load janë të bllokuara, modaliteti i gjumit është i ndaluar, përdorimi i DMA për pajisjet PCI është i kufizuar, importi i kodit ACPI nga variablat EFI është i ndaluar, manipulimet me portet I/O nuk janë lejohet, duke përfshirë ndryshimin e numrit të ndërprerjes dhe portës I/O për portën serike.
Mekanizmi i Lockdown u shtua së fundmi në bërthamën kryesore. Linux , por në bërthamat e furnizuara në shpërndarje ai ende zbatohet në formën e arnimeve ose i plotësuar me arna. Një nga ndryshimet midis shtesave të ofruara në komplet e shpërndarjes dhe zbatimit të integruar në kernel është aftësia për të çaktivizuar bllokimin e dhënë nëse keni akses fizik në sistem.
РUbuntu Në Fedora, kombinimi i tasteve Alt+SysRq+X përdoret për të çaktivizuar Lockdown-in. Ky kombinim tastesh është menduar të përdoret vetëm me akses fizik në pajisje. Në rastin e hakerimit në distancë dhe aksesit root, një sulmues nuk do të jetë në gjendje të çaktivizojë Lockdown-in dhe, për shembull, të ngarkojë një modul rootkit të pa nënshkruar në kernel.
Andrey Konovalov tregoi se metodat e bazuara në tastierë për të konfirmuar praninë fizike të përdoruesit janë joefektive. Mënyra më e thjeshtë për të çaktivizuar Lockdown do të ishte programatikisht duke shtypur Alt+SysRq+X nëpërmjet /dev/uinput, por ky opsion fillimisht është i bllokuar. Në të njëjtën kohë, ishte e mundur të identifikoheshin të paktën dy metoda të tjera të zëvendësimit Alt+SysRq+X.
Metoda e parë përfshin përdorimin e ndërfaqes "sysrq-trigger" - për ta simuluar atë, thjesht aktivizoni këtë ndërfaqe duke shkruar "1" në /proc/sys/kernel/sysrq dhe më pas shkruani "x" në /proc/sysrq-trigger. Tha shteg në përditësimin e kernelit të dhjetorit Ubuntu dhe në Fedora 31. Vlen të përmendet se zhvilluesit, si në rastin e /dev/uinput, fillimisht bllokoni këtë metodë, por bllokimi nuk funksionoi për shkak të në kod.
Metoda e dytë përfshin emulimin e tastierës nëpërmjet dhe pastaj dërgimin e sekuencës Alt+SysRq+X nga tastiera virtuale. Në të dhënat e dhëna Ubuntu Bërthama USB/IP është e aktivizuar si parazgjedhje (CONFIG_USBIP_VHCI_HCD=m dhe CONFIG_USBIP_CORE=m) dhe modulet usbip_core dhe vhci_hcd të nënshkruara dixhitalisht të nevojshme për funksionim janë të përfshira. Një sulmues mund të pajisje virtuale USB, mbajtësi i rrjetit në ndërfaqen loopback dhe duke e lidhur atë si një pajisje USB në distancë duke përdorur USB/IP. Rreth metodës së specifikuar zhvilluesit Ubuntu, por një zgjidhje ende nuk është publikuar.
Burimi: opennet.ru
